Команда WordPress пошла на крайние меры для исправления уязвимости в плагине - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 22.10.2020, 19:40   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 2,432
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию Команда WordPress пошла на крайние меры для исправления уязвимости в плагине

Команда безопасности WordPress пошла на экстренные меры и воспользовалась малоизвестной внутренней функцией для принудительного обновления популярного плагина. Так, сайты с плагином Loginizer принудительно получили обновленную версию 1.6.4, содержащую исправления для шести уязвимостей, позволяющих осуществить SQL-инъекцию и захватить управление сайтом.

Плагин обеспечивает усиление безопасности страниц авторизации на WordPress-сайтах. Согласно официальному описанию, Loginizer способен блокировать доступ к страницам авторизации IP-адресам из черных списков, добавлять поддержку двухфакторной аутентификации, добавлять CAPTCHA и пр. В настоящее время Loginizer является одним из самых популярных WordPress-плагинов – он установлен на более 1 млн сайтов.

На этой неделе исследователь безопасности Славко Махайлоски (Slavco Mihajloski) обнаружил в плагине опасные уязвимости . Проблема связана с реализованном в Loginizer механизмом защиты от брутфорс-атак, активированном по умолчанию. Для того чтобы ее проэксплуатировать, злоумышленник может попытаться авторизоваться на WordPress-сайте с помощью вредоносного имени пользователя, включающего инструкции SQL. Когда процесс авторизации срывается, Loginizer записывает попытку авторизации в базу данных сайта вместе с именем пользователя.

Плагин должным образом не проверяет имя пользователя и оставляет инструкции SQL нетронутыми, позволяя удаленному атакующему запускать код для атаки на базу данных WordPress (осуществлять SQL-инъекции).

Михайловски представил описание атаки и простой PoC-скрипт здесь .

Уязвимость является одной из самых серьезных уязвимостей в плагинах WordPress за последние несколько лет, в связи с чем команда безопасности WordPress пошла на крайние меры и принудительно установила обновление. Функция принудительной установки обновлений присутствует в кодовой базе WordPress еще с версии 3.7, выпущенной в 2013 году, но используется крайне редко.

Источник: https://www.securitylab.ru/news/513276.php
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Microsoft разъяснила порядок исправления уязвимости Zerologon Proxy-Base-News Новости IT 0 30.09.2020 18:10
Adobe выпустила внеплановые исправления для 41 уязвимости Proxy-Base-News Новости IT 0 20.03.2020 15:10
Мошенники эксплуатируют 0-day в популярном WordPress-плагине Proxy-Base-News Новости IT 0 23.03.2019 14:10
Уязвимость в WordPress-плагине угрожает интернет-магазинам Proxy-Base-News Новости IT 0 14.03.2019 01:30
Уязвимость в плагине для Wordpress угрожает миллионам сайтов Proxy-Base-News Новости IT 0 01.06.2016 12:50




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.